大多数管理员的核心任务是正确管控网络访问,维护网络安全,这在疫情后的远程办公时代显得尤为重要。以前,大多数 IT 团队只要维护一个单一的本地环境,而现在需要大量 IT 人员支持企业所有用户实现对重要资源的远程访问。
VPN 是支持远程访问的早期工具之一,这类工具本身并不完全安全,也需要多因素认证(MFA)保护登录安全,尤其是与?RADIUS 协议协同作用。本文将讨论保护企业网络的不同策略,以及不同策略之间的协同运作。
01
保护网络安全有哪些策略?
VPN、多因素认证(MFA)和 RADIUS 用户身份验证机制可以很好地解决远程办公或混合办公场景下的网络安全问题。这三种工具协作后可以建立一个强大的身份验证和安全工作流。在此之前,首先要了解三种工具各自的特点。
1)VPN
VPN 对数据包加密后会在终端设备和 VPN 中央服务器之间进行传输。远程员工使用 VPN 就可以在没有物理连接网络(WiFi 连接)的情况下访问企业网络。
员工想要获取只有在企业内网才能访问的文件、数据库、应用等资源时,就要使用按需 VPN 服务连接到企业内网。VPN 技术为远程办公人员提供了很多支持,包括:
-
远程访问企业资源
-
在使用公共 Wi-Fi 或其他不可信网络时保护数据和身份安全
但是,VPN 作为安全措施单独使用还不够强大。如果没有额外的保护措施,黑客只要渗透进 VPN 就能获取企业核心资源。
2)多因素认证(MFA)
多因素认证(MFA)提供额外的安全防护层,要求用户使用多个“身份验证因素”来完成认证,从而阻止黑客未经授权访问用户账号。一般来说,验证因素除了基本的密码和 PIN 码外还包括硬件令牌、身份验证APP的动态口令等持有物,以及指纹或面部识别等生物特征。
多因素认证(MFA)可以有效防止黑客未经授权访问账号,或使用网络监控程序或暴力破解手段破解账号密码。
此外,多因素认证(MFA)在防止网络钓鱼攻击方面也特别有效。传统的身份验证只要有用户名和密码就可以尝试访问账号,但现在还需要第二验证因素才能访问。
3)RADIUS 协议
RADIUS 全称为远程认证拨号用户服务,该协议支持对连接到远程 RADIUS 服务和使用相关网络的设备进行集中式 AAA (身份验证、授权和审计)管理。
RADIUS 协议和服务器可以验证核心 IdP 中的用户凭证,核心 IdP 通常部署在本地,在更加现代化的 IT 环境中则以云目录的形式部署,更加有助于管理员集中管理用户凭证,并简化终端的建立、配置和维护流程,从而大幅降低支出,同时优化了本地和远程用户的访问控制。
RADIUS 协议已经和 Wi-Fi 网络安全保护紧密关联,管理员可以更好地控制 WiFi 准入并且通过 VLAN 标记控制访问权限。另外,RADIUS 支持和保护访问的方式与 VPN 也十分类似。
02
维护网络安全的最佳方法
中小型企业维护网络安全的最佳方法是采用产品组合:要求远程员工连接 VPN,通过 RADIUS 认证和多因素认证保障访问安全。
一般情况下,VPN 需要用户名密码加上共享密钥或证书进行身份验证。然而,部分企业的 VPN 用户名密码可能是所有员工共享的一组凭证,就像共享 Wi-Fi 密码一样,这就可能带来新的安全风险。
由于远程用户所在环境超出了 IT 部门的可管辖范围,终端用户和共享凭证更容易受到攻击。而一旦共享用户的身份凭证被泄露,VPN 以及其他网络服务也会被破解。另一方面,即便 VPN 访问权限不是通过每个用户的独立凭证授予,对于不够重视访问安全的用户还是可能遭到机器人、暴力破解、网络钓鱼等攻击。
为了应对上述问题,管理员需要 RADIUS 服务器这类解决方案。将 RADIUS 认证添加到 VPN 访问中比起缺少管理的密码登录可以进一步提升访问安全。缺点是 RADIUS 服务器的维护和排除故障可能会实施困难,因此很多企业不考虑使用,只能花更多时间维护 VPN。
要增加额外的安全保护层,管理员还应该为 VPN 连接强制执行多因素认证,确保远程访问安全。多因素认证通过云托管的 RADIUS 协议,要求用户在登录时出示托管凭证之外的第二验证因素进一步保护 VPN,最终降低违规风险。
03
如何使多因素认证、RADIUS 协议和 VPN 协作?
如上文所说,RADIUS、多因素认证(MFA)和 VPN 都以各自的方式增强网络安全,同时又相辅相成。这种多层网络访问结构进一步保护了终端用户和企业网络,此外在云目录的支持下,内置了很多故障保险组件,可以为管理员提供警报,或是关闭曾经渗透到访问安全层的不必要访问。
当然,这三种工具协同工作的最大挑战就在于遗留环境的设置。
这正是目录服务平台可以大放异彩的地方。例如,宁盾人端一体化身份目录平台支持管理员和开发运维工程师将多因素认证添加到基于 RADIUS 、 LDAP 协议的 VPN 中,无需任何内部部署,大大增加了便利性,并能减少运维工作,提高运维效率。管理员和工程师只需将?VPN?身份认证指向宁盾,不依赖本地基础架构就可以获取对?VPN 所需的身份管理。
